麒麟勒索軟體濫用 WSL 在 Windows 中執行 Linux 加密器
麒麟(Qilin)勒索軟體被發現濫用 Windows Subsystem for Linux(WSL)在 Windows 作業系統中執行 Linux 加密器,以規避傳統資安工具的偵測。麒麟勒索軟體最初的名稱是 Agenda,於 2022 年 9 月更名為麒麟並沿用至今,它是目前活動最頻繁的勒索軟體之一。資安公司趨勢科技與思科 Talos 報告指出,麒麟勒索軟體組織今年截至目前已攻擊 62 個國家的超過 700 名受害者,並在 2025 年下半年平均每月新增超過 40 位受害者。
趨勢科技的資安研究員指出,麒麟勒索軟體組織利用 WinSCP 將 Linux ELF 加密器傳送至遭入侵的裝置,接著透過遠端管理軟體 Splashtop(SRManager.exe)直接在 Windows 系統中啟動加密器。該加密器無法直接於 Windows 中執行,必須經由 WSL 子系統運作。WSL 允許使用者在 Windows 系統內直接安裝與執行 Linux 發行版,攻擊者在取得裝置存取權後,會啟用或安裝 WSL,接著執行加密器,以繞過傳統的 Windows 資安防護軟體。